Datenschutz: EuGH urteilt zu dynamischen IP-Adressen

Sind dynamische IP-Adressen personenbezogene Daten und unter welchen Umständen dürfen sie gespeichert werden? Mit dem Urteil vom 19. Oktober 2016 (C-582/14) im Fall des Klägers Patrick Breyer hat der Europäische Gerichtshof (EuGH) diese Schlüsselfragen endgültig geklärt.

Update: Rechtslage 2025 – Kurzüberblick

Die rechtliche Bewertung dynamischer IP-Adressen hat sich durch die Rechtsprechung des Europäischen Gerichtshofs (EuGH) und das Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) grundlegend gewandelt.
 
Der entscheidende Impuls erfolgte bereits mit der nachfolgend behandelten EuGH-Entscheidung vom 19. Oktober 2016 (C-582/14, Breyer). Der EuGH stellte fest, dass eine dynamische IP-Adresse für den Betreiber einer Webseite (den Verantwortlichen) ein personenbezogenes Datum im Sinne des damaligen Datenschutzrechts darstellt, wenn dieser über die rechtlichen Mittelverfügt, die betreffende Person mithilfe des Internet-Service-Providers (ISP) zu identifizieren.
 
Mit dem Inkrafttreten der DSGVO im Mai 2018 wurde dieser weite Verständnis von Art. 4 Nr. 1 DSGVO zementiert. Nach Art. 4 Nr. 1 DSGVO gelten dynamische IP-Adressen regelmäßig als personenbezogene Daten. Dies gilt, sofern der Verantwortliche über rechtliche oder tatsächliche Mittel verfügt, um die betroffene Person unter Hinzuziehung Dritter (insbesondere des ISP) zumindest indirekt identifizierbar zu machen.
 
Obwohl die DSGVO die Rechtslage heute klarer strukturiert, bleibt die EuGH-Entscheidung „Breyer“ ein zentraler Ausgangspunkt für das Verständnis des Personenbezugs dynamischer IP-Adressen.

Der nachfolgende Beitrag zeigt nicht nur die historische Entwicklung, sondern hilft auch dabei, die heutigen Anforderungen der DSGVO – insbesondere die Voraussetzungen eines berechtigten Interesses, die Grenzen zulässiger Speicherung und die praktische Relevanz für Server-Logs und IT-Sicherheit – besser einzuordnen.

Was ist geschehen?

Der Jurist und schleswig-holsteinische Abgeordnete der Piraten-Partei Patrick Breyer hielt die Speicherung von dynamischen IP-Adressen auf mehreren Webseiten der Bundesrepublik Deutschland vor dem Hintergrund des deutschen Datenschutzrechts für rechtswidrig und verklagte Deutschland daraufhin auf Unterlassung.

Der Fall ging bis vor den Bundesgerichtshof. Relevanz erlangt der Fall aber nicht nur in Bezug auf Behörden, sondern auch im Hinblick auf Webseiten-betreibende Unternehmen allgemein, da sich der Kläger den Bund als Klagegegner nur exemplarisch ausgewählt hat. Auch Unternehmen, die dynamische IP-Adressen speichern, sind von dem Urteil betroffen.

Der Bundesgerichtshof entschied den Fall zunächst nicht selbst, sondern legte dem Europäischen Gerichtshof zwei Fragen im Wege des Vorabentscheidungsverfahrens vor, da er eine Kollision zwischen einer Vorschrift des deutschen Rechts und der europäischen „Datenschutzrichtlinie“ von 1995 (95/46/EG) sah.

Was sind dynamische IP-Adressen und wozu werden sie u.a. gespeichert?

„Dynamische IP-Adressen“, sind Ziffernfolgen, die sich bei jeder neuen Internetverbindung, in der Regel spätestens alle 24 Stunden, ändern.

Sie ermöglichen die Kommunikation mit dem Internet und werden beim Abruf einer Webseite an den Server übermittelt, auf dem die abgerufene Webseite gespeichert ist. Im Gegensatz zu „statischen IP-Adressen“ ermöglichen sie keine unmittelbare Identifizierbarkeit.

Allerdings verfügt der jeweilige Internetzugangsanbieter über die zur Identifizierung erforderlichen Zusatzinformationen, selbst wenn Nutzer während eines Nutzungsvorgangs ihre Personalien nicht explizit angeben. Sind Straftaten (z.B. Hacking) zu befürchten, können sich Betreiber einer Webseite in Deutschland an zuständige Behörden wenden, um die fraglichen Informationen vom Internetzugangsanbieter zu erlangen und anschließend die Strafverfolgung einzuleiten. Nach der Argumentation des Klägers stellen dynamische IP-Adressen schon aufgrund der Bestimmbarkeit personenbezogene Daten dar.

Eingeschränkte Rechtfertigung der Datenspeicherung nach bisherigem deutschen Recht

Unter der Annahme, eine dynamische IP-Adresse stellt ein personenbezogenes Datum dar, ist eine Speicherung rein nach deutschem Recht bisher nur äußerst eingeschränkt – zu Nutzungs- und Abrechnungszwecken - zulässig.

§ 15 Abs. 4 Telemediengesetz (TMG) besagt, dass der Diensteanbieter personenbezogene Daten eines Nutzers ohne dessen Einwilligung nur erheben und verwenden darf, soweit dies erforderlich ist, um die konkrete Inanspruchnahme des Telemediums durch den jeweiligen Nutzer zu ermöglichen und abzurechnen, und wonach der Zweck, die generelle Funktionsfähigkeit des Telemediums zu gewährleisten, die Verwendung nicht über das Ende des jeweiligen Nutzungsvorgangs hinaus rechtfertigen kann.

Wie entschied der EuGH den Rechtsstreit?

Der EuGH (Urteil vom 19. Oktober 2016 / C-582/14) stellte zunächst fest, dass auch dynamische IP-Adressen personenbezogene Daten darstellen, da Personen indirekt identifizierbar seien. Speicherung und Nutzung solcher Daten sind damit also grundsätzlich heikel.

Der EuGH ordnet die deutsche Regelung nach § 15 TMG gegenüber der sog. Datenschutz-Richtlinie allerdings als zu restriktiv ein.

Eine europarechtskonforme Auslegung von § 15 Abs. 4 in Verbindung mit Abs. 1 TMG ergebe daher, dass eine Speicherung auch aus anderen Gründen als zu Abrechnungszwecken zulässig sein kann. Die Abwehr von Cyber-Attacken kann dem EuGH zufolge ein berechtigtes Interesse an der Speicherung darstellen. Gleichwohl stellt dies noch keinen „Freibrief“ dar, da auch nach der Datenschutzrichtlinie Grundrechte und Grundfreiheiten der betroffenen Person überwiegen können. Ebenso wenig ermöglicht das Urteil eine anlasslose Speicherung.

Was bedeutet das Urteil für den Online-Handel?

Auch wenn der EuGH zunächst einmal einen weiteren Rechtfertigungsgrund (Speichern zur Abwehr von Cyber-Angriffen und nicht nur zu Abrechnungszwecken) im Rahmen von § 15 Abs. 4 TMG anerkennt, sollten Webseiten-Betreiber keineswegs „die Hände in den Schoß legen“, sondern überprüfen bzw. überprüfen lassen, ob das Speichern von dynamischen IP-Adressen auch im Einzelfall rechtens ist. Geschieht die Speicherung – abgesehen von der ohnehin zulässigen Speicherung zu Abrechnungszwecken einer vergangenen Nutzung - nicht aus reinen (zukünftigen) kommerziellen Interessen, sondern etwa zur Abwehr von Cyber-Angriffen, so kann dies zulässig sein.

Allerdings kann ein Berufen auf die Abwehrfunktion der Speicherung wiederum vor dem Hintergrund des § 13 Abs. 7 TMG problematisch sein und schlimmstenfalls zu Abmahnungen von Mitbewerbern oder Bußgeldern führen. Denn die Norm wurde 2015 neu geschaffen und verpflichtet geschäftsmäßige Anbieter von Telemedien dazu, durch technische Maßnahmen sicherzustellen, dass Cybergefahren abgewehrt werden.

Offenbaren sich also im Rahmen der Berufung auf die Zulässigkeit des Speicherns zur Abwehr von Internetkriminalität Schutzlücken, befinden sich Händler möglicherweise in dem Dilemma, dass ein Verstoß gegen den einen oder den anderen datenschutzrechtlichen Schutzgedanken vorliegen kann.

Fazit

Dem EuGH zufolge ist es für die Anwendbarkeit des Datenschutzrechts ausreichend, dass hinter dynamischen IP-Adressen zwar nicht unmittelbar bestimmte, aber bestimmbare Personen stehen. Dies bedeutet, dass auch dynamische IP-Adressen personenbezogene Daten darstellen und somit sensibel sind. Eine permanente, anlasslose Speicherung bleibt damit weiterhin nicht erlaubt.

Gleichwohl kann eine Speicherung über Abrechnungszwecke hinaus unter bestimmten Voraussetzungen zulässig sein.

Ungeklärt ist allerdings, ob und inwiefern die nach dem EuGH an sich zulässige Speicherung dynamischer IP-Adressen zu Zwecken der Internetkriminalitätsbekämpfung beispielsweise mit den IT-Sicherheits-Pflichten aus § 13 Abs. 7 TMG kollidieren kann. Pauschale Erleichterungen bringt das Urteil also nicht mit sich, da jedenfalls stets eine Interessenabwägung zwischen Speicher- und Löschinteresse zu erfolgen hat.

Neben der sich zudem möglicherweise ergebenden Notwendigkeit, Datenschutzerklärungen auf ihre Vollständigkeit hin zu überprüfen, können mit dem Urteil auch weitere Pflichten für den Online-Handel einher gehen.

Fragen zum Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.